Bezpieczeństwo informacji w łańcuchu dostaw branży motoryzacyjnej

TISAX® to skrót od Trusted Information Security Assessment Exchange. TISAX® umożliwia wzajemną akceptację ocen bezpieczeństwa informacji w przemyśle motoryzacyjnym i zapewnia wspólny mechanizm oceny i wymiany, który zapewnia bezpieczne udostępnianie poufnych informacji firmom partnerskim, aby wzbudzić zaufanie w całym łańcuchu dostaw w branży motoryzacyjnej.

TISAX® został ustanowiony przez VDA (niemieckie stowarzyszenie przemysłu motoryzacyjnego) i jest obsługiwany przez ENX Association, które oceniło i potwierdziło status BSI jako zatwierdzonego dostawcy audytów TISAX®.

Opracowany przez ekspertów ds. bezpieczeństwa w branży motoryzacyjnej i oparty na międzynarodowych standardach systemu zarządzania bezpieczeństwem informacji (ISMS), takich jak ISO/IEC 27001, TISAX® zapewnia katalog wymagań obejmujących wirtualne, fizyczne i społeczne aspekty bezpieczeństwa informacji, specyficzne dla łańcucha dostaw w branży motoryzacyjnej. Katalog ten jest określany jako Ocena Bezpieczeństwa Informacji (ISA) i stanowi podstawę oceny przeprowadzanej przez BSI jako zatwierdzonego dostawcę audytu TISAX®.

Original Equipment Manufacturers (OEMs) coraz częściej uznają, a w niektórych przypadkach nakazują, aby etykieta TISAX® stanowiła dowód zgodności organizacji z wymogami bezpieczeństwa informacji, pomagając w ten sposób zapewnić bezpieczeństwo informacji w całym łańcuchu dostaw w branży motoryzacyjnej.

Obecnie istnieje ponad 3000 uczestników TISAX® (producentów OEM i certyfikowanych dostawców TISAX®) w prawie 6000 zarejestrowanych lokalizacjach na całym świecie. Obejmuje to szereg organizacji współpracujących z producentami OEM, od dostawców części samochodowych po dostawców usług technologicznych i nie tylko.

Istotne jest, aby organizacje w regularnych odstępach czasu udowadniały klientom, że spełniają znormalizowane i określone wymagania dotyczące bezpieczeństwa informacji. Zarówno TISAX®, jak i ISO/IEC 27001 wspierają ten cel.

TISAX® jest ściśle zgodny z normą ISO/IEC 27001, ale ma pewne dodatkowe wymagania specyficzne dla branży motoryzacyjnej, szczególnie skoncentrowane na łańcuchu dostaw. Przykładem może być wymiana danych projektowych w procesach rozwojowych oraz zautomatyzowana wymiana danych między sieciowymi systemami produkcyjnymi. Ponadto dostępność i niezawodność produkcji są bardziej szczegółowo uwzględniane w ocenach TISAX®.

Klauzule ISO/IEC 27001 są przywoływane w całym ISA, dzięki czemu firmy mogą łatwo dostosować zarządzanie bezpieczeństwem w łańcuchu dostaw do dowolnego systemu zarządzania bezpieczeństwem informacji ISO/IEC 27001 stosowanego w ich organizacji.

1. Rejestracja TISAX®: klient rejestruje się w portalu ENX, wskazując zakres oceny.
2. Ocena TISAX®: klient przechodzi ocenę (oceny) przeprowadzaną przez dostawcę oceny TISAX®, tj. BSI.
3. Etykieta TISAX®: po pomyślnym zakończeniu oceny ENX dostarcza etykietę TISAX®, umożliwiając ocenianej organizacji udostępnienie jej wszystkim uczestnikom TISAX® lub wybranym partnerom biznesowym.

Istnieją 3 poziomy oceny TISAX®, opisane poniżej. Odpowiedni poziom zostanie wybrany na etapie rejestracji.

• AL 1:Samoocena dokonywana przez audytowanego. Ocena istniejącej deklaracji własnej audytowanego.
• AL 2:Kontrola wiarygodności samooceny ograniczona do oceny dowodów i wywiadu z ekspertem.
• AL 3: Pełna ocena obejmująca ocenę dowodów, kontrolę na miejscu i wywiady z ekspertami.

TISAX® jest własnością marki ENX Association. BSI jest formalnie uznawane przez ENX Association do przeprowadzania ocen audytowych TISAX®.